Az Active Directory tartományi szolgáltatások áttekintése
Érvényes: Windows Server 2012
.jpeg "All_Symbols_Cloud")
|
Tudta, hogy a Microsoft Azure hasonló funkciókat kínál a felhőben? További információ a Microsoft Azure identitáskezelési megoldásairól. Hibrid identitáskezelési megoldás létrehozása a Microsoft Azure-ban: |
Az Active Directory® tartományi szolgáltatások (AD DS) kiszolgálói szerepkör segítségével méretezhető, biztonságos és kezelhető infrastruktúrát hozhat létre a felhasználó- és erőforrás-kezeléshez, és támogatást nyújthat olyan címtárhasználatra képes alkalmazásokhoz, mint a Microsoft® Exchange Server.
A témakör hátralévő része az AD DS kiszolgálói szerepkör magas szintű áttekintését tartalmazza. További információk az AD DS új szolgáltatásairól a Windows Server 2012 rendszerben: Az Active Directory tartományi szolgáltatások újdonságai (AD DS).
Az AD DS egy elosztott adatbázist biztosít, amely a hálózati erőforrások információit és a címtárhasználatra képes alkalmazásokra vonatkozó adatokat tárolja és kezeli. Az AD DS szerepkört futtató kiszolgálót tartományvezérlőnek nevezzük. A rendszergazdák az AD DS segítségével a hálózat elemeit, például felhasználókat, számítógépeket és egyéb eszközöket rendszerezhetnek hierarchikus tartalmazottsági struktúrába. A hierarchikus tartalmazottsági struktúra az Active Directory erdőből, az erdő tartományaiból és az egyes tartományok szervezeti egységeiből áll.
A hálózati elemek hierarchikus tartalmazottsági struktúrába rendezése a következő előnyöket nyújtja:
Az erdők a szervezet biztonsági határaként szolgálnak, és meghatározzák a rendszergazdák jogkörét. Alapértelmezés szerint az erdő egyetlen tartományt tartalmaz, amely az erdő gyökértartományaként ismert.
További tartományokat is létre lehet hozni az erdőben az AD DS adatainak particionálása céljából, amely lehetővé teszi, hogy a szervezetek csak akkor replikálják az adatokat, amikor szükségük van rá. Ez lehetővé teszi, hogy az AD DS globálisan méretezhető legyen a korlátozott sávszélességgel rendelkező hálózatokon. Az Active Directory-tartomány számos egyéb, felügyelethez kapcsolódó központi funkciót is támogat, beleértve a hálózati felhasználói identitást, hitelesítést és a megbízhatósági kapcsolatokat.
A szervezeti egységek (OU) egyszerűbbé teszik a jogkörök delegálását, így sok objektum esetén segítik a felügyeletet. A delegálással a tulajdonosok átadhatják az objektumok feletti teljes vagy korlátozott irányítást más felhasználóknak vagy csoportoknak. A delegálás fontos, mivel segíti a nagy számú objektum kezelésének elosztását a felügyeleti feladatok elvégzésére megbízhatónak talált személyek között.
A biztonság az AD DS szolgáltatásba a bejelentkezési hitelesítésen és a címtárban található erőforrások hozzáférés-vezérlésén keresztül van integrálva. Egyetlen hálózati bejelentkezési névvel kezelhetik a rendszergazdák a címtáradatokat és a szervezetet a hálózaton. A hitelesített hálózati felhasználók egyetlen hálózati bejelentkezési névvel férhetnek hozzá az erőforrásokhoz a hálózat bármely részén. A házirendalapú felügyelet leegyszerűsíti még a legösszetettebb hálózatok kezelését is.
A további AD DS szolgáltatások közé a következők tartoznak:
Egy szabálykészlet, a séma, amely meghatározza a címtárban található objektumok és attribútumok osztályozását, az objektumok példányainak megkötéseit és korlátozásait, illetve a neveik formátumát.
Globális katalógus, amely a címtárban található összes objektumról tartalmaz információkat. A felhasználók és a rendszergazdák a globális katalógus segítségével címtár-információkat kereshetnek, függetlenül attól, hogy a címtár melyik tartománya tartalmazza ténylegesen az adatokat.
A lekérdezési és indexelési mechanizmusnak köszönhetően az objektumokat és tulajdonságaikat a hálózati felhasználók vagy alkalmazások közzétehetik és megkereshetik.
Replikációs szolgáltatás, amely címtáradatokat oszt el a hálózaton keresztül. A tartományban az összes írható tartományvezérlő részt vesz a replikációban és tartalmazza a tartományához tartozó összes címtár-információ teljes másolatát. A rendszer a címtáradatok minden módosítását a tartomány összes tartományvezérlőjére replikálja.
Műveleti főkiszolgálói szerepkörök (más néven mozgó egyedüli főkiszolgálói szerepkör vagy FSMO). A műveleti főkiszolgálói szerepkörökkel rendelkező tartományvezérlők specifikus feladatok végrehajtására vannak kijelölve, amelyekkel biztosítják a konzisztenciát és megszüntetik az ütköző bejegyzéseket a címtárban.
Az Active Directory tartományi szolgáltatások futtatásának követelményei
Milyen hardver-, szoftver- vagy beállításkonfigurációk szükségesek a szolgáltatás futtatásához? Milyen előkövetelményei vannak a szerepkör futtatásának? Szükséges ehhez a szerepkörhöz/szolgáltatáshoz különleges hardver?
Követelmény |
Leírás |
|---|---|
TCP/IP |
Konfigurálja a megfelelő TCP/IP- és DNS-kiszolgálócímeket. |
NTFS |
Az Active Directory tartományi szolgáltatások (AD DS) adatbázisát, a naplófájljait és SYSVOL mappáját tároló meghajtókat helyi rögzített kötetre kell helyezni. A SYSVOL mappát NTFS fájlrendszerrel formázott kötetre kell helyezni. Biztonsági okokból az Active Directory-adatbázist és -naplófájlokat NTFS fájlrendszerrel formázott kötetre kell helyezni. |
Hitelesítő adatok |
Új AD DS erdő telepítéséhez helyi rendszergazdának kell lennie a kiszolgálón. További tartományvezérlő meglévő tartományba való telepítéséhez a Tartománygazdák csoport tagjának kell lennie. |
Tartománynévrendszer (DNS) infrastruktúra |
Ellenőrizze, hogy rendelkezésre áll-e DNS-infrastruktúra. Az AD DS telepítésekor szükség esetén telepíthet DNS-kiszolgálót is. Új tartomány létrehozásakor a DNS-delegálást rendszer a telepítési folyamat során automatikusan létrehozza. A DNS-delegálás létrehozásához olyan hitelesítő adatokra van szükség, amelyek engedéllyel rendelkeznek a szülő DNS-zónák frissítéséhez. További információkért lásd: DNS-beállítások varázslólap. |
Adprep |
Amikor az első Windows Server 2012 rendszert futtató tartományvezérlőt hozzáadja az Active Directory-tartományhoz, az adprep.exe parancsai szükség szerint automatikusan futnak. Ezek a parancsok további hitelesítő adatokra vonatkozó és csatlakozási követelményekkel rendelkeznek. További információkért lásd: Az Adprep.exe futtatása. |
Írásvédett tartományvezérlők (RODC-k) |
A RODC-k telepítésének további követelményei:
További információ: RODC telepítésének előfeltételei. |
Megjegyzés
A DNS-kiszolgáló kivételével a tartományvezérlőknek jellemzően nem szabad más kiszolgálói szerepköröket üzemeltetnie.
Active Directory tartományi szolgáltatások futtatása
Hogyan telepíthetem és konfigurálhatom ezt a szerepkört a Windows PowerShell segítségével?
Az AD DS Windows PowerShell® parancssori felülethez készült ADDSDeployment modul használatával történő telepítésével és konfigurálásával kapcsolatos lépésenkénti útmutatót lásd: Active Directory tartományi szolgáltatások telepítési útmutatója (https://go.microsoft.com/fwlink/?LinkId=222597).
Hogyan telepíthetem és konfigurálhatom ezt a szerepkört egy többkiszolgálós környezetben?
Az AD DS egy elosztott szolgáltatás, amelyet úgy terveztek, hogy több tartományvezérlőn is fusson. Az AD DS több tartományvezérlőn történő telepítésével és konfigurálásával kapcsolatos lépésenkénti útmutatót lásd: Active Directory tartományi szolgáltatások telepítési útmutatója (https://go.microsoft.com/fwlink/?LinkId=222597).
Hogyan futtathatom ezt a szerepkört virtuális gépeken?
Az AD DS a Windows Server 2012 rendszeren védelmet biztosít a virtuális gépek futtatásához, hogy biztosítsa a virtualizált AD DS környezetek biztonságát és konzisztenciáját. További információ az AD DS futtatásáról virtuális gépeken: Tartományvezérlők futtatása Hyper-V-ben (https://go.microsoft.com/fwlink/?LinkID=213293).
Biztonsági szempontok a szerepkör futtatásához
Telepítés után az AD DS alapértelmezés szerint biztonságos. További információk a tartományvezérlők alapértelmezett biztonsági beállításairól, a kockázatokról és a tartományvezérlők biztonságos működtetéséről: Ajánlott eljárások útmutatója az Active Directory telepítések biztosításához.
Különleges szempontok a szerepkör távoli kezelése esetén
Az AD DS távoli kezeléséhez telepítse a Távoli kiszolgálófelügyelet eszközeit (RSAT). Az RSAT 32 bites és 64 bites verzióval is rendelkezik. További információkért lásd: Távoli kiszolgálófelügyelet eszközei (https://go.microsoft.com/fwlink/?LinkId=222628).
Különleges szempontok a szerepkör kezelésével kapcsolatban Server Core telepítési lehetőségen
Az AD DS szerepkört Server Core telepítésre vagy Minimális kiszolgálói felülettel rendelkező kiszolgálókra is telepítheti. Ez olyan esetekben ajánlott, amikor az operációs rendszer telepítési igényének csökkentése előnyös, például egy dedikált kiszolgálói szerepkör esetén egy adatközpontban, és virtualizációs vendégrendszerek, illetve távoli irodákban működő RODC-k esetén. A Windows Server 2012 rendszertől kezdődően a Server Core telepítésen futó tartományvezérlők átalakíthatók grafikus felhasználói felülettel rendelkező kiszolgálótelepítésekké (más néven teljes telepítés), és fordítva.
A Windows Server korábbi verzióján futó Server Core telepítés frissítése támogatott, azonban nem lehet közvetlenül a Windows Server korábbi verziójának Server Core telepítéséről frissíteni egy grafikus felhasználói felülettel rendelkező kiszolgálótelepítésre, illetve közvetlenül egy grafikus felhasználói felülettel rendelkező kiszolgálótelepítésről egy Server Core telepítésre. Ebben az esetben közvetlenül ugyanarra a telepítési típusra kell frissítenie Windows Server 2012 rendszeren, majd szükség esetén át kell alakítania egy másik telepítésre a frissítés után.
További információ: A Windows Server telepítési beállításai.
Szerepkör-szolgáltatások az Active Directory tartományi szolgáltatásokhoz
Az Identitáskezelés Unixhoz az AD DS olyan szerepkör-szolgáltatása, amelyet csak tartományvezérlőkön lehet telepíteni. Az Identitáskezelés Unixhoz, a NIS-kiszolgálószolgáltatás és a Jelszó-szinkronizálás két olyan megoldást, amelyek segítségével könnyebben integrálhatja a Windows® rendszert futtató számítógépeket a meglévő UNIX vállalati környezetbe. Az AD DS rendszergazdák a NIS-kiszolgáló szolgáltatás segítségével kezelhetik a Network Information Service (NIS) tartományokat. A Jelszó-szinkronizálás automatikusan szinkronizálja a jelszavakat a Windows és a UNIX operációs rendszerek között.
Szerepkör-szolgáltatási technológiák |
Szerepkör-szolgáltatás leírása |
|---|---|
NIS-kiszolgálószolgáltatás |
Lehetővé teszi a Microsoft Windows alapú Active Directory-tartományvezérlők számára a UNIX Network Information Service (NIS) hálózatok felügyeletét. További információkért lásd: A NIS-kiszolgáló áttekintése (https://go.microsoft.com/fwlink/?LinkId=222677). |
Jelszó-szinkronizálás |
Segíti a Windows és a UNIX hálózatok integrálását a biztonságos jelszavak fenntartásának leegyszerűsítésével mindkét környezetben. További információkért lásd: A jelszó-szinkronizálás áttekintése (https://go.microsoft.com/fwlink/?LinkId=222676). |